10.01.2014 17:00

DDoS via NTP-Reflection

In den letzten Wochen kam es vermehrt zu Distributed Denial of Service-Attacken mittels NTP-Reflection. Potentielle Angreifer machen sich hierbei den in älteren Versionen des Daemons standardmässig aktivierten monlist-Befehl zu Nutze. Hierbei handelt es sich um einen Befehl der dem Angreifer eine Liste der letzten 600 Hosts die sich mit dem NTP-Server verbunden haben zurückliefert. Nicht nur bedeutet dies, dass unter Umständen sensible Informationen über das gesamte Netzwerk erhalten werden können, aufgrund der Grösse der retournierten Pakete eignet es sich auch für reflektierte DDoS-Attacken.

Das Ausnutzen dieser Schwachstelle ist sehr einfach, der Netzwerkscanner nmap bietet ein monlist-Modul zur Informationssammlung, das Penetrationstestframework Metasploit kommt mit einem eigenen Modul für DDoS-Attacken mittels monlist. Um zu testen, ob die eigene Installation anfällig für diese Art von Angriff ist reicht es auf UNIX-artigen Systemen den folgenden Befehl in der Shell auszuführen:

ntpdc -n -c monlist 127.0.0.1

Sollte daraufhin vom Server eine Liste an zuletzt verbundenen Clients ausgegeben werden ist der Server anfällig für die genannte Attacke.

Der einfachste Weg den Missbrauch des eigenen NTP-Servers zu verhindern ist durch ein Upgrade auf die Version 4.2.7 oder höher, mit dieser fällt der monlist-Befehl vollständig weg. Sollte ein Upgrade keine Option darstellen ist es möglich den Daemon mit der Option "disable monitor" zu starten.

Weitere Informationen zur Absicherung von NTP-Software für andere Systeme (Cisco, Juniper) finden sich in einem Artikel von Team Cymru.

Autor: Alexander Riepl